Страхование информационных рисков в кредитно-финансовой сфере деятельности

Страхование информационных рисков в кредитно-финансовой сфере деятельности

Следует отметить, что блокировать все угрозы и  сохранять банковскую информа-цию  на электронных носителях гораздо  сложнее, чем в бумажной форме. Хотя передовые технологии создают условия для лучшей защищенности, но полная безопасность остается в принципе недостижимой.

Идущая в последние  два-три десятилетия компьютеризация  банковской деятельности, автоматизация  информационных и других технологий, разумеется, определялась, прежде всего, необходимостью решения стратегических задач, но попутно решались и новые проблемы, связанные с компьютерной безопасностью.

Расходы на банковскую компьютеризацию весьма велики. В  соответствии с общемировой практикой  в среднем банке расходы на компьютеризацию составляют не менее 17% от общей сметы годовых расходов, соответственно, значительны расходы и на компьютерную безопасность.

Внедрение АБС  существенно повышает эффективность  банковской деятельности, но вме-сте  с тем, приводит к появлению новых  информационных рисков: реализация всех функций АБС связана с возможностью утечки, хищения, утраты, искажения, подделки, уничтожения, копирования, блокирования компьютерной информации. И эта возможность носит отнюдь не абстрактный характер. Суммарный ущерб мирового банковского сообщества от компьютерных преступлений измеряется десятками миллиардов долларов, только в Западной Европе его вели-чина приближается к $30 млрд.

По оценкам  Британской Федерации предпринимателей, средний размер похищенного при  проникновении в банковские компьютерные сети составляет около $500 тыс. на один случай, что значительно превышает среднюю величину ущерба от ограбления одного банка. Самое грандиозное из известных компьютерных ограблений произошло в Германии, когда с банковских счетов преступникам удалось безвозвратно снять сумму, эквивалентную примерно $1 млрд.

Министерство  финансов США оценивает ущерб  от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в $100 млрд. ежегодно. По оценкам специалистов, основная опасность базам данных исходит от внутренних пользователей: ими совершается 94% преступлений, а внешними – только 6%. Институт компьютерной безопасности в Сан-Франциско опубликовал некоторые данные, характеризующие состояние компьютерной преступности и информационной безопасности в 2001 г. Согласно исследованию этого Института, в 2001 г. 64% крупных корпораций и прави-тельственных структур понесли финансовые потери из-за того, что их системы информацион-ной безопасности были нарушены. Средний размер годовых потерь на одну компанию составил около $ 2 млн.

В представленном Всемирным банком документе "Электронная  безопасность: уменьше-ние рисков в  финансовых операциях" перечислены  направления деятельности, обеспечивающие необходимый уровень безопасности в этой сфере, среди которых: создание условий, при кото-рых страховые компании могли бы страховать риски в сфере информационной безопасности, обеспечение достоверности информации об инцидентах в сфере безопасности. Компьютерные преступления против банков совершаются и в России. Еще в 1991 г. было похищено $125,5 тыс. во Внешэкономбанке. Преступники из числа сотрудников вычислитель-ного центра банка открыли несколько личных счетов по поддельным паспортам и начали пере-водить на них деньги банка. В феврале 1996 г. была пресечена преступная деятельность группы лиц, совершавших хищения валютных средств в международной межбанковской системе элек-тронных платежей путем несанкционированного входа в компьютерную сеть Автобанка с по-следующим списанием средств по его корсчету в Bank of New-York на сумму более $320 тыс. В дальнейшем деятельность компьютерных преступников стала еще более изощренной и мас-штабной.

Из всего числа  зарегистрированных и проанализированных компьютерных преступлений против банков в России 52% было связано с хищением денежных средств, 16% – с разрушением и уничтожением программного обеспечения компьютерной техники, 12% – с преднамеренным искажением исходных данных, 10% – с хищением информации и программ. По оценкам экс-пертов, основным источником информационных угроз для банков России в начале XXI в. будет обслуживающий (в том числе и бывший) персонал (от 40 до 90% случаев), а основными видами угроз – несанкционированный доступ и вирусы (считается, что практически все банки, без ис-ключения, будут подвергаться вирусным атакам).

Но информационные угрозы АБС связаны не только с  умышленными компьютерными преступлениями. Так, ежегодные потери американской экономики из-за ошибок в компьютерных программах составляют около $60 млрд. По многолетней статистике американской иссле-довательской фирмы FIND/SVP, отказ компьютера, используемого в банке, наносит ущерб в среднем в размере $263 тыс. В Великобритании ущерб от одного отказа, составляет в среднем $166 тыс.  
Итак, современный банковский бизнес неизбежно связан с огромными информационными рисками. Одной из форм защиты банковского бизнеса от информационных рисков является страхование.

На Западе издавна  страхуются почти любые риски. По оценкам экспертов, в развитых странах  Запада страхованием охвачено примерно 90-95% всех возможных рисков, в России по-ка – 5-7%. В США, например в 1994 г. совокупная страховая премия составила огромную сум-му, эквивалентную 11,4% ВНП.

Банковское страхование  на Западе не просто широко распространено, а фактически явля-ется обязательным при ведении банковской деятельности. Банки сталкиваются со многими ви-дами рисков, далеко не только информационными, и страховое покрытие возможного ущерба обычно выдвигается как одно из стандартных условий при открытии международных банковских кредитных линий или установлении корреспондентских отношений.

Страхование информационных банковских рисков Хотя перечень страховых  услуг превышает 3 тыс. позиций, страхование  информационных рисков возникло на Западе совсем недавно, в самом конце XX в. В связи со сложностью и спе-цификой страхования им занимаются весьма немногие страховщики. При страховании информационных рисков приходится решать множество новых проблем, таких, например, как оценка стоимости страхуемых информационных ресурсов или оценка раз-меров ущерба при наступлении страхового случая (скажем, копирования информации). При этом следует отметить, что в мировой практике пока не создано эффективных методик объек-тивной оценки стоимости информации, хотя понятно, что информационные ресурсы в АБС сто-ят многие миллионы долларов (а иногда и миллиарды) – и, значит, в договорах должна быть указана соответствующая, страховая сумма. Технология такого страхования – предмет поисков и дискуссий. Нам представляется вполне логичным при страховании информационных рисков действовать по аналогии с традиционными принципами и методами страхования. Так, при оценке ущерба в страховании профессиональной ответственности, ущерб определяется соглас-но решению суда, устанавливающего размер имущественной ответственности специалиста или фирмы за причинение материального ущерба клиенту, моральный ущерб за счет страхователя не возмещается.

Сбой и остановка  в работе компьютера по своей экономической  сути близки простою обо-рудования. Напомним, что определение величины убытков при страховании от простоя сравни-ваются результаты производственной деятельности предприятия во время перерыва в произ-водстве с результатами, которые предприятие достигло бы, если бы этого перерыва не про-изошло. Возмещаемый убыток складывается из текущих расходов предприятия по продолже-нию своей деятельности в период перерыва в производстве и потерь прибыли от хозяйственной деятельности предприятия.

Хорошо отработаны методы имущественного страхования. При  страховании имущества возмещаются  не только прямые убытки, т.е. убытки, связанные с гибелью или повреждением имущества. Косвенные убытки и ущерб, причиненный третьим лицам, в рамках договоров имущественного страхования, как правило, не подлежат возмещению.

Объектами имущественного страхования могут стать:

• документированная информация;
• информационные ресурсы;
• информационные продукты;
• информационные системы, технологии, средства их обеспечения; программы для ЭВМ (операционные системы, системы автоматизации банковской дея-тельности и т.п.) и базы данных:
• средства защиты информации;
• объекты информатизации (совокупность информационных ресурсов, систем и средств об-работки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации).

Но конкретные условия страхования информационных рисков каждому страховщику при-ходится определять самостоятельно. 
 
До недавнего времени многие банки обходились широко распространенным в мировой практике "Генеральным банковским полисом" (Banker's Blanket Bond – BBB), предоставляю-щим общебанковское комплексное страхование. Обязательства по такому страхованию покры-вают:

• нелояльность персонала банка (иначе говоря, мошеннические действия сотрудников с це-лью получения личной выгоды);
• имущество, находящееся в помещениях банка;
• наличные деньги при транспортировке; убытки, понесенные банком при операциях по поддельным документам;
• убытки, понесенные банком при принятии валюты, которая впоследствии была признана фальшивой.

Таким образом, виды страхования, предлагаемого полисом "ВВВ", не покрывают значи-тельной части убытков от электронных и компьютерных преступлений и лишь ограниченно страхуют иные информационные риски. Но даже такой ограниченной возможности страхова-ния информационных рисков в рамках общебанковского страхования теперь часто не предос-тавляется.  
Ряд западных страховых компаний в 2001-2002 г. изменили стандартные условия бизнес-страхования, исключив из объекта такого общего страхования информационные риски. Не-сколько судебных решений также подтвердили, что страховые компании не должны возмещать по стандартным бизнес-полисам ущерб, вызванный искажением или утратой информации. Ве-дущий экономист Института страховой информации в Нью-Йорке Р. Хартвич в интервью жур-налу "Бизнес Уик" в январе 2002 г. так охарактеризовал новое положение дел: "Всем должно быть ясно, что возможные потери от сбоев и отказах в информационных системах, компьютер-ных вирусов, хищение информации не могут быть учтены в стандартных бизнес-полисах".

В США и Западной Европе информационное страхование  стало предлагаться в качестве особого приложения к полису комплексного страхования финансовых институтов от преступ-лений с участием персонала и третьих лиц - полису ВВВ. Западные страховщики часто не идут на отдельное страхование информационных рисков, так как привязка к ВВВ повышает ответст-венность страхователя, заставляет его искать виновных в "проколах" компьютерных систем, более ответственно подходить к системам защиты. Новые полисы предлагаются как дополни-тельные к основному, они предоставляют возмещение в случаях потерь от компьютерных виру-сов, взлома информационной защиты и сбоев в информационном обеспечении, требуют страхо-вых взносов, составляющих от 2 до 8% страховой суммы. В случае продажи такого полиса страховая компания часто требует, чтобы была проведена проверка системы информационной безопасности покупателя, это обходится от $4,5 до $50 тыс.

Полисы, дополнительные к генеральному банковскому полису страхования, предоставля-ют также  страховое покрытие ущерба от несанкционированного списания денежных средств с банковского счета путем вторжения в компьютерные сети банка, а также мошенничества и дру-гих преступных действий с кредитными карточками. Некоторые полисы страхования информационных рисков исключают из страхового по-крытия возможные потери от любых действий террористов, но есть и такие, которые обещают компенсацию в случае ущерба от деятельности "информационных террористов". Признается, что доказать, проник ли вирус в компьютер случайно или в результате умышленных действий террористов, чрезвычайно сложно. По данным журнала "Бизнес Уик", за 2001 г. продажа "до-полнительных полисов", предоставляющих целевое страхование информационных рисков, уд-воилась. К началу 2002 г. западными страховщиками выдано около 5 тыс. полисов страхования информационных рисков. По оценкам экспертов, объемы рынка страхования информационных рисков только в США составляют около $4 млрд.  
Приобретение полиса страхования от компьютерных преступлений не является обязатель-ным ни в США, ни в странах ЕС. Однако уже сейчас практически нет ни одного крупного евро-пейского или американского банка, не застрахованного от риска компьютерных преступлений. Продаваемые западными страховыми компаниями полисы страхования информационных рис-ков стоят недешево, обычно это страховые платежи в сотни тысяч долларов ежегодно. При этом возмещение ущерба не превышает несколько десятков миллионов долларов. "Страхование от огня обходится гораздо дешевле, чем страхование от хакеров", – признают западные эксперты.